Su NTFS, eliminare non è cancellare. Quando un file viene eliminato, il sistema operativo capovolge un singolo bit nel record MFT del file — il flag in uso nell'intestazione del record — e aggiorna l'indice della cartella padre. Il resto del record rimane esattamente com'era.
Cosa c'è ancora
Un record MFT eliminato di norma conserva:
$STANDARD_INFORMATION— tutti e quattro i timestamp, i flag, l'identificativo di sicurezza$FILE_NAME— nome originale, riferimento alla cartella padre, dimensione logica e fisica$DATA— per file piccoli, l'intero contenuto (residente); per file grandi, la runlist verso cluster che potrebbero non essere ancora sovrascritti
Puoi elencare i file eliminati per numero di record e ricostruire la quasi totalità dell'identità di un file eliminato a partire dal solo $MFT.
Quando sparisce davvero?
Un record eliminato persiste finché NTFS non ha bisogno dello slot per un nuovo file. Alla successiva creazione, il sistema può riutilizzare lo slot libero più vecchio. Su un volume attivo, i record eliminati vengono riassorbiti in poche ore. Su un sistema poco attivo possono sopravvivere per mesi.
L'MFT in sé può solo crescere; non si riduce mai. È proprio questo che ne fa un artefatto forense così ricco.
Incrociare le fonti per il quadro completo
$MFT mostra quali record esistono. $UsnJrnl (l'Update Sequence Number Journal) mostra cosa è successo loro — inclusi gli eventi di eliminazione che hanno capovolto il flag «in uso». $LogFile aggiunge un ulteriore strato di storia transazionale.
Un triage che attraversa i tre insieme può ricostruire non solo cosa è stato eliminato, ma anche quando e in che ordine. Il parser di questo sito legge $MFT. Gli altri due journal sono ottimi obiettivi successivi.